【盘点】2019年被点名的金融支付App都犯了哪些错？

发布时间：2020.01.13 作者： 伟辰 阅读：

2019年我国展开了声势浩大的App治理行动，在一年的时间里，无数的App因为各种理由被各方监管点名，进行限期整改。在“点名-整改”这个过程中，金融支付App无疑最受到关注。

从安全重要程度上来说，金融支付App直接涉及用户财产安全；从信息敏感程度上来说，金融支付App包含大量的个人金融信息（数据）；从关键程度上来说，金融支付App属于关键信息基础设施一部分。

如果一家金融支付机构的App被监管点名，起码意味着两个隐患：1、数据全生命周期管理存在问题，起码数据采集部分有问题；2、该公司之前的操作全部属于违法违规，有可能被追究责任。

向第三方机构提供信息值得关注

金融支付App被点名原因一直受到业界人士的关注，在目前的情况下，知道App被点名的理由如同看到合规道上指路的明灯。在移动支付网之前的统计中，隐私政策存在问题、未说明收集信息的用途、没有隐私政策、超范围收集用户信息是被点名的主要原因。

在最近一批被监管点名的金融支付App中，有一项原因非常值得金融支付机构仔细研究：未经用户同意，也未作匿名化向第三方机构提供用户个人信息。在App治理专项工作组公布的违法违规App明细中，民生信用卡、度小满理财、壹钱包、招商银行掌上生活App都被指出存在类似的问题。

这是在之前被点名App明细中从未出现的问题，涉及到数据分享问题。按照《（App）收集个人信息基本规范（草案）》的规定：App应防止第三方代码、插件收集无关的个人信息，如果需收集则要明示用户并征得同意。

很明显，民生信用卡、度小满理财、壹钱包、招商银行掌上生活App都没有做到这一点，数据共享是未来大数据时代发展的基础，众所周知，数据共享越充分，数据能挖掘的价值就越大。

打破数据孤岛发挥数据价值潜力就是这个道理。无疑，直接将数据与第三方进行分享是最为有效的分享方式，运营者可以直接根据数据构建用户画像，进行精准营销，用户可以享受更为舒服的服务，运营者也可以有效减少运营成本。

但是，直接分享数据需要征得用户同意，很明显，绝大部分用户不会同意运营者将自己的数据共享给第三方。如果无法征得用户同意，那么共享数据就需要进行匿名化处理，匿名化处理过后的数据无法和个人联系到一起，少了数据泄露的风险，但是也少了精准营销的可能。

对于金融支付机构，甚至以后的开放银行来说，这意味着数据共享的道路还需要进行进一步探索。

IMEI号或许会成为下一个重点问题

更令人值得注意的是，“IMEI号（设备唯一标识码）”多次出现在App存在问题明细中，具体明细表述为：“收集设备IMEI号、IMSI号、地理位置信息等个人信息频度超过业务功能实际需要。”

在这里“频度”这个词尤为值得品味，可以单纯的理解为App采集相关个人信息次数过多。App大部分是打开运行即开始采集用户个人信息，如果一天多次打开App自然会多次采集用户个人信息，但是一个App一天会被打开多少次都是不一定的，因此对App采集个人信息进行次数限制显然是不合理的。

但是如果理解为App多次采集了只能采集一次的个人信息那就可以理解。结合“向第三方提供IMEI号等个人信息”这样的明细，或许可以理解为：App中的SDK多次采集了IMEI号，所以造成了这样的问题。

在《（App）收集个人信息基本规范（草案）》中有规定：App不得收集不可变更的设备唯一标识（如IMEI号、MAC地址等），用于保障网络安全或运营安全的除外。也就是说，只有在必须的情况下App才可以采集IMEI号、IMSI号，其他时候不得收集相关信息。

如果《（App）收集个人信息基本规范（草案）》正式施行，对于IMEI号的管理必然会上升至一个新高度，起码不是所有App都有资格收集IMEI号。IMEI号等唯一标识码是目前大部分网络运营者标记用户的方法，方便好用。如果对IMEI号等唯一标识码进行了管制，App数据采集、治理必然要做出相应的改变。

不方便注销和骚扰用户也是大问题

在最近的点名中，不方便注销成为了一个引人瞩目的问题，小米金融因为该问题先被工信点名，后被App治理专项工作组点名。除了小米金融之外，微贷网、挖财信用卡管家、万达贷、浦发信用卡等App被点名的理由也包含这个问题。

很明显不方便注销不是某款App存在的问题，而是大部分App都存在的问题。注销账号是用户非常重要的一项权利也是监管非常看重的一项权利。如果用户注销了某个App账号，该App运营者就需要将该用户所有数据进行删除或匿名化处理，保证不在业务当中使用。

一个成功的金融支付机构必然有拥有三个关键积累：1、大量的用户；2、大量的资金；3、大量的数据沉淀，注销账户实质上减少了用户数量和数据沉淀。这对于任何金融支付机构，特别是金融机构来说都是很难接受的。

但无论如何，金融支付机构必须接受这个事实。

骚扰用户是另一个令人瞩目的问题，具体的表述是“用户明确不同意打开权限后，仍频繁征求用户同意，干扰用户正常使用”。壹钱包、小米金融、浦发信用卡等App都存在这个问题。

《（App）收集个人信息基本规范（草案）》规定：“用户明确拒绝使用某服务类型后，App不得频繁（如每48小时超过一次）征求用户同意使用该类型服务，并保证其他服务类型正常使用。”

监管规则或已明确

读者可能有所发现，本次点名有很多问题可以在《（App）收集个人信息基本规范（草案）》中找到对应条款。这项规范虽然还是草案，但是已经显示出了应有的能力，部分条款可能已经成为了监管规则。

除了《（App）收集个人信息基本规范（草案）》，工信部、网信办等四部委近日还公布了《App违法违规收集使用个人信息行为认定方法》，各地网信办、通信管理局、公安厅(局)、市场监管局依据该认定方法，在App侵害用户权益专项整治行动中结合监管和执法工作实际参考执行。

这两份文件或将成为App治理、监管最重要的规则文件。

来源：移动支付网